Тема безопасности обычно встает самой последней. Мало кто об этом заботится, пока петух не клюнет.
Мы не будем рассматривать возможные атаки и их технические особенности и способы защиты от них.
Давайте посмотрим на это с организационной стороны.
В первую очередь оцените риски сайта и критичность этих рисков. Что вы можете потерять, если ваш сайт взломают? Насколько это вероятно?
Здесь имеет смысл разбить вопросы на 3 составляющие:
По сути, у вас появится карта рисков вашего сайта. Наверное, всем понятно, что начинать надо с самых критичных и самых вероятных рисков. Вы должны минимизировать степень критичности и степень вероятности каждого риска. Ну, либо принять этот риск и сказать себе “Я сознательно не делаю ничего по этому риску и готов принять последствия реализации этого риска”.
Также есть такое полезное понятие как профилактика.
Есть ряд общепринятых практик, направленных на минимизацию рисков информационной безопасности, такие как:
Вам необходимо выработать свой собственный документ, который будет содержать ваши правила и методики по обеспечению информационной безопасности сайта. Он называется Политикой информационной безопасности сайта.
При этом очень важно, чтобы это был не просто документ для формальности, а четкий регламентирующий инструмент по внедрению практик, обеспечивающих максимальную безопасность вашего сайта.
И, напоследок, еще 2 мысли:
Если ваш сайт сделан на asp.net – то вот чек-лист безопасности сайта на asp.net.
В блоге Falcon Space вы найдете карту рисков веб-проекта.
Вызов внешних действий - это возможность действия, выходящего за рамки возможности работы с БД через…
Вызов внешних действий - это возможность действия, выходящего за рамки возможности работы с БД через…
После выполнения действий в SQL на клиенте иногда возникает необходимость что-то обновить или сделать. Для…
Вы можете обратиться к внешним API через использование Внешних действий (код apirequest, использование описано в…
В системной таблице as_trace хранятся данные по работе приложения. Поле code определяет тип события: DBLREQ…
Рассмотрим механизм анализа ошибок, как это всё работает, и как его использовать. Когда происходит ошибка…